据行业媒体报道,近日,一个名为“CozyBear”的黑客组织对IT管理软件开发商SolarWinds的Orion软件进行了破坏性网络攻击,从而获得访问权限。美国政府部门和其他组织的IT系统。大多数部门和组织都没有为这种针对软件供应链的网络攻击做好准备。该黑客组织最近入侵主要网络安全公司FireEye是一次规模大得多的网络攻击的一部分,该攻击是通过对主要网络监控产品的恶意更新进行的,并影响了一些政府机构和企业。该事件凸显了网络攻击对软件供应链可能产生的严重影响,而且大多数组织都没有做好预防和检测此类威胁的准备。今年3月,一个黑客组织在一次网络攻击中获得了对包括美国财政部和商务部在内的多个美国政府机构的服务器系统的访问权限。这一事件导致美国国家安全委员会立即召开紧急会议,讨论应对和解决方案。黑客组织CozyBear的网络攻击入侵了SolarWinds开发的名为Orion的网络和应用程序监控平台,然后利用该访问权限生成木马并将其分发给该软件的用户。消息传出后,SolarWinds在其网站的一个页面上称,其客户包括425家世界500强制造商、美国前十大电信公司、美国前五名会计师事务所以及美国所有分支机构。军队。、五角大楼、美国国务院以及全球数百所大学和学院。对SolarWinds软件供应链的攻击也让黑客得以进入美国网络安全服务提供商FireEye的网络。攻击者可能是“APT29”或“CozyBear”。“我们已经在全球多个实体中检测到这种活动。受害者包括政府部门、咨询机构、技术供应商、电信公司以及矿场,我们预计其他国家和垂直行业会有更多受害者。我们已通知所有受网络攻击影响的实体。2020年3月至2020年6月间发布的恶意OrionUpdatesOrion2019.4HF5至2020.2.1版本可能包含木马。然而,每次攻击都需要网络攻击者编排和人为交互。网络攻击者设法修改了一个名为Orion平台的插件SolarWinds.Orion.Core.BusinessLayer.dll,作为Orion平台更新的一部分分发。此木马化组件经过数字签名,并包含与网络攻击者控制的第三方服务器通信的后门。FireEye将此组件跟踪为SUNBURST并在GitHub上发布了开源检测规则。FireEye分析师表示:“在最初的长期休眠期后,它会检索并执行名为‘jobs’的命令,包括传输文件、执行文件、分析系统,重新启动机器,并禁用系统服务。该恶意软件将其网络流量伪装成Orion改进计划(OIP)协议,并将侦察结果存储在合法的插件配置文件中,使其能够融入合法的SolarWinds活动。它的后门使用多个混淆的黑名单来将正在运行的取证和防病毒工具识别为进程、服务和驱动程序。“网络攻击者将他们的恶意软件覆盖率保持在较低水平,更愿意窃取和使用凭据在网络内进行横向移动并建立合法的远程访问。它的后门用于传递一个轻量级的恶意软件删除程序,该程序从未被发现和被FireEye称为TEARDROP。这个程序直接加载到内存中,不会在硬盘上留下任何痕迹。研究人员认为它被用来部署定制版本的CobaltStrikeBEACONpayload。CobaltStrike是一个商业渗透测试框架和开发代理,具有也被黑客和复杂的网络犯罪集团采用和使用。为了避免被发现,网络攻击者使用临时文件替换技术远程执行他们的工具。这意味着他们使用他们的恶意工具修改目标系统上的合法实用程序,执行后,然后替换它与合法工具。类似的技术涉及更新合法任务以执行一个恶意工具,然后将任务恢复到原来的配置,从而临时修改系统调度的任务。“防御者可以检查SMB会话的日志,以显示对合法目录的访问,并在短时间内遵循删除、创建、执行、创建的模式,”FireEye研究人员说。此外,防御者可以使用频率分析来识别任务的异常修改,从而监控现有的计划任务以进行临时更新。还可以监视任务以监视执行新的或未知二进制文件的合法任务。”这是FireEye从展示最佳操作安全性的威胁参与者那里观察到的,该安全性侧重于检测逃避和利用现有的信任关系。然而,该公司的研究人员认为,这些网络攻击可以通过持续防御来检测,并在他们的咨询中描述了多种检测技术。SolarWinds建议客户尽快升级到OrionPlatform版本2020.2.1HF1,以确保他们运行的是最新版本的产品。该公司还计划发布新补丁2020.2.1HF2,它将替换受感染的组件并进一步增强安全性。美国国土安全部还向政府组织发出紧急指令,要求其检查其网络并报告特洛伊木马组件。并且没有有效的解决方案。软件供应链上的网络攻击并不是什么新鲜事。安全专家多年来一直警告说,它们是最难防范的威胁之一,因为它们利用了供应商和客户之间的信任关系。以及机器对机器的通信渠道,例如用户固有信任的软件更新机制。早在2012年,研究人员就发现Flame恶意软件的攻击者使用针对MD5文件哈希协议的加密攻击,使他们的恶意软件看起来是由Microsoft合法签名并通过Windows更新机制分发到目标。并不是软件开发商(微软)本身被黑了,而是攻击者利用了WindowsUpdate文件检查的一个漏洞,证明软件更新机制是可以被充分利用的。2017年,卡巴斯基实验室的安全研究人员发现了一个名为Winnti的APT组织发起的软件供应链攻击,该攻击涉及入侵NetSarang的基础设施,NetSarang是一家制造服务器管理软件提供商,允许他们分发木马版本。数字签名是用NetSarang公司的合法证书来实现的。网络攻击者后来破坏了Avast子公司CCleaner的开发基础设施,并将该程序的木马化版本分发给超过220万用户。去年,网络攻击者劫持了计算机制造商ASUSTeKComputer的更新基础设施,并向用户分发了恶意版本的ASUSLiveUpdateUtility。“从威胁建模的角度来看,我不知道有任何组织将供应链攻击集成到他们的环境中,”安全咨询公司TrustedSec的创始人大卫肯尼迪说。例如,表明网络攻击者可以选择部署产品的任何目标,这是全球许多公司,大多数组织无法检测和预防。”尽管组织中??部署的软件可能会受到安全审查,但为了了解开发人员是否有良好的安全实践来修补可能被利用的产品漏洞,组织不会考虑如果更新机制受到损害,软件将如何影响其基础设施。“我们在这方面还很不成熟,没有简单有效的解决方案,因为许多组织需要软件来运行他们的工作负载,他们需要采用新技术来扩大影响力并保持竞争力,”肯尼迪说。的组织不将其视为威胁模型。”肯尼迪认为,软件开发人员应该首先开始,更多地考虑如何始终保护其代码的完整性,以及如何设计产品以将风险降至最低。“很多时候,当组织构建软件时,他们会从外到内构建威胁模型,但并不总是从内到外,”他说。“这是很多人需要关注的领域:如何设计架构和基础。”基础设施使其更能抵抗这些类型的攻击?有没有办法通过最小化产品架构中的基础设施来阻止许多此类攻击?例如,将SolarWinds公司Orion保留在自己的孤岛中,以便可以进行通信,但仅此而已。一般来说,良好的安全实施是为对手创造尽可能多的复杂性,这样即使他们成功并且正在运行的代码被破坏,网络攻击者也很难实现他们的目标。”作为软件公司,您还应该开始考虑将零信任网络原则和基于角色的访问控制不仅应用于用户,还应用于应用程序和服务器。正如并非每个用户或设备都可以访问网络上的任何应用程序或服务器一样,并非每个服务器或应用程序都可以与网络上的其他服务器和应用程序进行通信。在将新软件或技术部署到网络中时,组织应该问自己:如果该产品因恶意更新而受到损害会怎样?他们需要尝试将控制措施落实到位,以尽量减少影响。未来软件供应链上的网络攻击数量可能会增加,尤其是当其他网络攻击者看到他们的成功和广度时。继2017年WannaCry和NotPetya网络攻击之后,针对组织的勒索软件攻击激增,因为它们向网络攻击者发出信号,表明他们的网络并不像他们想象的那样具有弹性。从那时起,许多网络犯罪组织都采用了先进的技术。勒索软件组织也了解利用供应链的价值,并开始攻击托管服务提供商以利用他们对客户网络的访问权限。NotPetya本身有一个供应链组件,因为勒索软件蠕虫最初是通过后门软件更新服务器启动的,用于称为M.E.Doc的计费软件,该软件在东欧国家很流行。肯尼迪说,黑客组织认为这次攻击是一次非常成功的网络攻击。从勒索软件的角度来看,他们同时攻击了所有安装了SolarWindsOrion平台的组织。他说,“黑客可能知道,对于这种类型的网络攻击,需要提高复杂性,但鉴于你从勒索软件社区看到的进步和他们投入的资金,这不是一件容易的事。但我我我想我们将来会再次看到这种情况发生。”
